JP2005204232A - Network system, access point device, terminal communication module, access control method, access control program, and recording medium recording access control program therein - Google Patents
Network system, access point device, terminal communication module, access control method, access control program, and recording medium recording access control program therein Download PDFInfo
- Publication number
- JP2005204232A JP2005204232A JP2004010629A JP2004010629A JP2005204232A JP 2005204232 A JP2005204232 A JP 2005204232A JP 2004010629 A JP2004010629 A JP 2004010629A JP 2004010629 A JP2004010629 A JP 2004010629A JP 2005204232 A JP2005204232 A JP 2005204232A
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- network system
- network
- access point
- access control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
Description
本発明は、ネットワークへの不正なアクセスを防止し、セキュリティを向上させるネットワークシステム、アクセスポイント装置、端末用通信モジュール、アクセス制御方法、アクセス制御プログラム、およびアクセス制御プログラムを記録した記録媒体に関する。 The present invention relates to a network system, an access point device, a terminal communication module, an access control method, an access control program, and a recording medium on which an access control program is recorded that prevents unauthorized access to a network and improves security.
近年、パーソナルコンピュータの低価格化に伴い、コンピュータ装置は日常的に使用される装置として一般に普及している。ここで言うコンピュータ装置には、卓上などでほぼ固定して使用するデスクトップ型コンピュータ、可搬性を重視したノート型コンピュータ、PDA(Personal Digital Assistant)などが含まれる。 In recent years, with the price reduction of personal computers, computer devices are generally spread as devices that are used on a daily basis. The computer device referred to here includes a desktop computer that is almost fixedly used on a desktop or the like, a notebook computer that emphasizes portability, a PDA (Personal Digital Assistant), and the like.
これらのコンピュータ装置は、多くの場合、ネットワークを介して情報を送受信している。このようにネットワークを介して送受信される情報には、例えば、キャッシュカードのIDであったり、会社内の機密文書であったりと、外部に漏洩しては困る情報も含まれている。したがって、ネットワークを構成するシステムのセキュリティには高い信頼性が要求される。 In many cases, these computer devices transmit and receive information via a network. Information transmitted and received through the network in this way includes information that is difficult to leak to the outside, such as a cash card ID or a confidential document in a company. Therefore, high reliability is required for the security of the system constituting the network.
一方、無線LANモジュールを用いてデータを送受信するネットワーク構成が昨今普及しつつある。無線LANモジュールを用いたデータの送受信では、端末側の無線通信モジュールとネットワークに接続された無線基地局(以降アクセスポイントと表記する)の間での通信が成立すれば、端末となるコンピュータ装置は任意の場所からネットワークにアクセスしてデータを送受信することが可能となる。このため、配線の煩わしさから解放されるというメリットがあり、一般ユーザによる家庭での利用だけではなく、多くのコンピュータ装置を接続しなければならない企業でのオフィスユースとしても注目されている。 On the other hand, a network configuration for transmitting and receiving data using a wireless LAN module has recently become widespread. In data transmission / reception using a wireless LAN module, if communication is established between a wireless communication module on the terminal side and a wireless base station (hereinafter referred to as an access point) connected to the network, a computer device serving as a terminal Data can be transmitted and received by accessing the network from any location. For this reason, there is a merit that it is freed from the troublesomeness of wiring, and it is attracting attention not only for home use by general users, but also for office use in companies where many computer devices must be connected.
しかし、これらの自由度が逆に任意の場所からの不正なアクセスを可能としてしまうというデメリットを生じさせている。一般的に無線通信には指向性がなく、傍受が容易である。そのために、端末用通信モジュールとアクセスポイント間の情報の送受を傍受したり、あるいはネットワークへのアクセスが許可されていない端末から正規の端末になりすましてネットワークを不正に使用されたりするといった問題がある。情報が傍受された場合には、重要な情報が漏洩してしまい、なりすましによる不正使用の場合には、ネットワーク上の他のシステムに対する不正アクセスなどの拠点として悪用されてしまう。 However, these degrees of freedom conversely cause a demerit that enables unauthorized access from any place. Generally, wireless communication has no directivity and is easy to intercept. For this reason, there are problems such as intercepting transmission / reception of information between the terminal communication module and the access point, or improper use of the network by impersonating a legitimate terminal from a terminal that is not allowed to access the network. . When information is intercepted, important information leaks, and in the case of unauthorized use by impersonation, it is misused as a base for unauthorized access to other systems on the network.
そこで、従来からこれらの問題に対応するセキュリティ技術がいくつも提案されている。例えば、WEP(Wired Equivalent Privacy)と呼ばれる方式では、64bitもしくは128bitの共通鍵を用いてデータを暗号化し、傍受による情報の漏洩を防ぎ、エラーやデータの改ざんをチェックして不正な接続を防止する。しかし、この方式では共通鍵が一定であるために、一度暗号化キーが漏洩してしまうと容易にデータを復号されてしまうという問題がある。実際に、WEPによる通信では、様々な方法により傍受した通信データから共通鍵を推定して復号することが可能なことが示されている。 Thus, a number of security technologies that have responded to these problems have been proposed. For example, in a method called WEP (Wired Equivalent Privacy), data is encrypted using a 64-bit or 128-bit common key, information leakage due to interception is prevented, and errors and data tampering are checked to prevent unauthorized connection. . However, since the common key is constant in this method, there is a problem that once the encryption key is leaked, the data is easily decrypted. In fact, it has been shown that in WEP communication, a common key can be estimated and decrypted from communication data intercepted by various methods.
また、MAC(Media Access Control)Address Filtering と呼ばれる方法では、ネットワーク通信モジュール毎に設定されているMACアドレスを用いて正規のアクセスを認識している。予めアクセスを許可する通信モジュールについて、そのMACアドレスをアクセスポイントもしくはサーバに登録しておき、登録されていないMACアドレスの通信モジュールに対してはネットワークへのアクセスを禁止する。しかし、MACアドレスを改ざんすること自体が容易であるために、この方式によるセキュリティのレベルは高くない。MACアドレスの他に通信端末のシリアル番号を予めアクセスポイントに登録する方法も提案されているが(例えば、特許文献1参照。)、アクセスポイント毎に登録が必要であり、セキュリティレベルについて問題があるだけでなく、管理面での煩わしさもある。 In a method called MAC (Media Access Control) Address Filtering, regular access is recognized using a MAC address set for each network communication module. For a communication module that permits access in advance, its MAC address is registered in an access point or server, and access to the network is prohibited for a communication module having a MAC address that is not registered. However, since it is easy to falsify the MAC address itself, the security level by this method is not high. In addition to the MAC address, a method of previously registering the serial number of the communication terminal in the access point has also been proposed (see, for example, Patent Document 1), but registration is required for each access point, and there is a problem with the security level. In addition, there is also annoying management.
そこで、最近では複数の手法を組み合わせて、より頑強なセキュリティを実現する方法が提案されている。例えば、IEEE802.1xとTKIP(Temporal Key Integrity Protocol)を組み合わせたWPA(Wireless Protected Access)がある。この方式では、まずアクセスする端末の認証と暗号化の共通鍵の配布方式をIEEE802.1xにより実現する。具体的には、予め端末毎に配布してある電子証明とユーザ認証サーバを用いてユーザを認証する。認証を受けたユーザ毎に異なる共通鍵を配布する。新しい共通鍵は、一定時間後に認証を受けているユーザに対してのみ再配布されるため、共通鍵が漏洩した場合でも特定ユーザの一定時間の通信が傍受されるだけで、被害を最小限に抑えることができる。また、TKIPはWEPの持つ脆弱性を改良した暗号化アルゴリズムである。以上2つの手法の組み合わせにより不正なアクセスを排除したより信頼性の高いデータ送受信を実現している。
しかしながら、上述のような従来の方式では、予め配布、登録してある電子証明やID、パスワードが漏洩してしまった場合には不正アクセスを防ぐことはできない。特に、IDやパスワードに関しては、ユーザの手を介するため、不正な方法によるパスワードの推測が容易になってしまったり、取り扱いの不注意により外部に洩らしてしまったりといった問題が起こりやすい。さらに、正規の電子証明が記憶された装置が盗難にあった場合の外部からの不正アクセスには対応することができない。また、事前登録が必要であるため、新規加入や一時利用が頻繁にある利用シーンでは管理面での煩わしさがある。 However, in the conventional system as described above, unauthorized access cannot be prevented if an electronic certificate, ID, or password that has been distributed and registered in advance is leaked. In particular, since IDs and passwords are assisted by the user, it is easy to guess a password by an unauthorized method or to leak outside due to careless handling. Furthermore, it is impossible to deal with unauthorized access from the outside when a device in which a regular electronic certificate is stored is stolen. In addition, since pre-registration is required, there is a problem in management in a use scene where new subscriptions and temporary use are frequent.
従来技術のこのような課題に鑑み、本発明の目的は、通信を行う装置の動的な位置情報を用いることによって、管理面が容易でありながらネットワークへの不正アクセスを防止でき、暗号化方式の脆弱性を補ってセキュリティの向上を図ることを可能とするネットワークシステム、アクセスポイント装置、端末用通信モジュール、アクセス制御方法、アクセス制御プログラム、およびアクセス制御プログラムを記録した記録媒体を提供することである。 In view of such a problem of the prior art, the object of the present invention is to use the dynamic location information of a device that performs communication, thereby preventing unauthorized access to the network while being easy to manage, and an encryption method Providing a network system, an access point device, a terminal communication module, an access control method, an access control program, and a recording medium on which the access control program is recorded. is there.
上記目的を達成するため、本発明のネットワークシステムは、アクセスポイント装置を介して端末をネットワークへ無線接続するネットワークシステムにおいて、各端末の位置情報を検知する位置検知器と、前記位置検知器によって検知された各端末の位置情報を管理する位置情報管理装置とを備え、前記位置情報管理装置において管理される各端末の位置情報に基づいて、前記アクセスポイント装置が各端末の前記ネットワークへの接続を制御することを特徴とする。 In order to achieve the above object, a network system according to the present invention is a network system in which a terminal is wirelessly connected to a network via an access point device, a position detector that detects position information of each terminal, and a detection by the position detector. And a location information management device that manages location information of each terminal, and the access point device connects each terminal to the network based on the location information of each terminal managed by the location information management device. It is characterized by controlling.
ここで、前記ネットワークへの接続の制御とは、例えば、所定領域内に存在すると判断された各端末に対しては前記ネットワークへの接続を許可し、前記所定領域外に存在すると判断された各端末に対しては前記ネットワークへの接続を禁止することであるが、このような制御に限るものではない。また、所定領域内とは、例えば、会社内での使用であれば会社の敷地内が挙げられ、会社の特定の部署での使用であればその部署の居室内などが挙げられるが、これらに限るものではない。 Here, the control of the connection to the network is, for example, each terminal determined to exist outside the predetermined area by permitting connection to the network for each terminal determined to exist within the predetermined area. The terminal is prohibited from connecting to the network, but is not limited to such control. In addition, within the predetermined area, for example, if it is used within the company, it is within the company premises, and if it is used within a specific department of the company, the room of the department is mentioned. It is not limited.
この発明のネットワークシステムによれば、ネットワークへの接続の制御を端末の位置情報に基づいて行い、接続を許容してよい位置に存在する端末に限って、ネットワークへの接続を行うことができる。これにより、ネットワーク接続を許可する端末を事前に登録する必要がないので管理面の煩わしさがない。また、端末などを紛失したり、盗難に遭ったりした場合などでも、位置情報によりアクセスの可否を判別するために、外部からの不正なアクセスを遮断でき、セキュリティを高く保持できる。 According to the network system of the present invention, the connection to the network is controlled based on the location information of the terminal, and the connection to the network can be performed only for the terminal existing at a position where the connection may be permitted. As a result, it is not necessary to register a terminal that permits network connection in advance, so there is no troublesome management. Even when a terminal is lost or stolen, unauthorized access from the outside can be blocked in order to determine whether or not access is possible based on location information, and security can be maintained high.
また、本発明のネットワークシステムにおいて、前記アクセスポイント装置および各端末がそれぞれ暗号通信手段を有していることを特徴としてもよい。 In the network system of the present invention, the access point device and each terminal may each have an encryption communication unit.
この発明のネットワークシステムによれば、アクセスポイント装置と各端末間の通信を暗号化するので安全性が高まる。 According to the network system of the present invention, the communication between the access point device and each terminal is encrypted, so the safety is improved.
また、本発明のネットワークシステムにおいて、前記アクセスポイント装置が各端末に対して端末毎に異なる暗号鍵情報を送信するとともに、所定時間経過毎に前記暗号鍵情報を更新して各端末に対して再送信するものであって、前記位置情報管理装置において管理される各端末の位置情報に基づいて、前記アクセスポイント装置が、更新した前記暗号鍵情報の各端末への再送信を制御することを特徴としてもよい。 In the network system of the present invention, the access point device transmits different encryption key information for each terminal to each terminal, and updates the encryption key information every time a predetermined time elapses and re-transmits the information to each terminal. The access point device controls retransmission of the updated encryption key information to each terminal based on the location information of each terminal managed by the location information management device. It is good.
ここで、更新した前記暗号鍵情報の各端末への再送信の制御とは、例えば、所定領域内に存在すると判断された各端末に対しては更新した前記暗号鍵情報の再送信を許可し、前記所定領域外に存在すると判断された各端末に対しては更新した前記暗号鍵情報の再送信を禁止することであるが、このような制御に限るものではない。 Here, the control of retransmission of the updated encryption key information to each terminal means, for example, that each terminal determined to exist within a predetermined area is permitted to retransmit the updated encryption key information. Although it is prohibited to retransmit the updated encryption key information to each terminal determined to exist outside the predetermined area, the present invention is not limited to such control.
この発明のネットワークシステムによれば、アクセスポイント装置と各端末間の通信の暗号化の鍵を所定時間毎に定期的に更新するとともに、更新された暗号化の鍵の再送信を端末の位置情報に基づいて制御し、接続を許容してよい位置に存在する端末に対してのみ、更新された暗号化の鍵を再送信する。これにより、暗号化の鍵が漏洩した場合であっても不正なアクセスが行われる可能性がある時間を限定でき、リスクを最小限にすることができる。また、暗号化通信が確立された後に、端末が移動して所定領域外などに移動してしまった場合にも、ネットワークへの接続を禁止することができ、セキュリティを高めることができる。 According to the network system of the present invention, the encryption key for communication between the access point device and each terminal is periodically updated every predetermined time, and the re-transmission of the updated encryption key is transmitted to the terminal location information. The updated encryption key is retransmitted only to a terminal that exists in a location where connection is permitted. As a result, even when the encryption key is leaked, the time during which unauthorized access may be performed can be limited, and the risk can be minimized. In addition, even when the terminal moves and moves out of a predetermined area after the encrypted communication is established, connection to the network can be prohibited and security can be improved.
また、本発明のネットワークシステムにおいて、前記位置検知器が複数存在することを特徴としてもよい。また、本発明のネットワークシステムにおいて、前記位置検知器が1つのみ存在することを特徴としてもよい。 In the network system of the present invention, a plurality of the position detectors may exist. In the network system of the present invention, only one position detector may be present.
ここで、位置検知器としては、例えば距離センサや方向センサなどが挙げられるが、これらに限るものではない。 Here, examples of the position detector include a distance sensor and a direction sensor, but are not limited thereto.
この発明のネットワークシステムによれば、複数の位置検知器を使用する場合には、端末の位置をより厳密に特定することが可能になる。これにより、物理的にセキュリティレベルの高いエリアとセキュリティレベルの低いエリアが接しているような場合であっても対応することができる。また、1つの位置検知器のみを使用する場合には、端末の位置検知精度は簡易的なものになるが、ネットワークシステムの構成が簡単になる。これにより、ネットワークシステム全体のコストを低減できるとともに、位置検知器の配置作業なども容易にできる。 According to the network system of the present invention, when a plurality of position detectors are used, the position of the terminal can be specified more strictly. As a result, it is possible to cope with a case where an area with a physically high security level and an area with a low security level are in contact. Further, when only one position detector is used, the position detection accuracy of the terminal is simplified, but the configuration of the network system is simplified. As a result, the cost of the entire network system can be reduced, and the placement work of the position detector can be facilitated.
また、本発明のネットワークシステムにおいて、前記アクセスポイント装置が前記位置情報管理装置を内蔵していることを特徴としてもよい。また、本発明のネットワークシステムにおいて、前記アクセスポイント装置が前記位置検知器を内蔵していることを特徴としてもよい。 In the network system of the present invention, the access point device may include the location information management device. In the network system of the present invention, the access point device may include the position detector.
この発明のネットワークシステムによれば、アクセスポイント装置が位置情報管理装置を内蔵することにより、アクセスポイント装置と位置情報管理装置を1台の装置にできる。これにより、ネットワークシステムの構成を簡略化して、コストを低減することができる。さらに、位置検知器もこの1台の装置に内蔵する場合には、ネットワークシステムの構成を一層簡略化して、コストをより低減することができる。 According to the network system of the present invention, since the access point device incorporates the location information management device, the access point device and the location information management device can be combined into one device. Thereby, the structure of a network system can be simplified and cost can be reduced. Furthermore, when the position detector is also built in this single device, the configuration of the network system can be further simplified and the cost can be further reduced.
また、本発明のネットワークシステムにおいて、各端末が、前記位置検知器による位置検知のための信号を発信する発信器を有することを特徴としてもよい。 In the network system of the present invention, each terminal may include a transmitter that transmits a signal for position detection by the position detector.
ここで、前記発信器は所定時間間隔で定期的に信号を発信するようにしてもよいし、必要に応じて不定期に信号を発信するようにしてもよい。また、前記発信器から発信される信号には、端末毎の固有の識別信号が含まれていることが好ましく、例えば、公開鍵暗号方式の公開鍵が含まれるようにしてもよい。 Here, the transmitter may transmit a signal periodically at a predetermined time interval, or may transmit a signal irregularly as necessary. The signal transmitted from the transmitter preferably includes a unique identification signal for each terminal. For example, a public key of a public key cryptosystem may be included.
この発明のネットワークシステムによれば、各端末の位置検知を確実に行うことができる。これにより、管理面の煩わしさを伴うことなく、セキュリティレベルの高い無線通信を実現することができる。発信器からの信号の発信を所定時間間隔にすれば、発信器の消費電力を大幅に低減することができる。 According to the network system of the present invention, the position of each terminal can be reliably detected. As a result, wireless communication with a high security level can be realized without bothering management. If the transmission of the signal from the transmitter is performed at a predetermined time interval, the power consumption of the transmitter can be greatly reduced.
また、本発明のネットワークシステムにおいて、前記発信器は電波により信号を発信することを特徴としてもよい。 In the network system of the present invention, the transmitter may transmit a signal by radio waves.
この発明のネットワークシステムによれば、発信器からの電波は、各端末とアクセスポイント装置間に何らかの障害物があったとしても到達可能である。これにより、棚などが入り組んでいるような場所やパーティションや壁で仕切られたスペースであっても、ネットワークへのアクセスを許容する所定領域として管理することができる。 According to the network system of the present invention, the radio wave from the transmitter can be reached even if there is any obstacle between each terminal and the access point device. As a result, even a place where shelves or the like are complicated, or a space partitioned by partitions or walls, can be managed as a predetermined area that allows access to the network.
また、本発明のネットワークシステムにおいて、前記発信器は赤外線により信号を発信することを特徴としてもよい。 In the network system of the present invention, the transmitter may transmit a signal by infrared rays.
この発明のネットワークシステムによれば、発信器からの赤外線は壁などを透過しない。これにより、アクセスを許容する所定領域を一つの部屋に限定することなどが可能となり、セキュリティレベルを向上させることができる。また、位置検知器を1つのみにして端末の位置検知精度を簡易化したネットワークシステムにおいてこの発明を適用すれば、想定外の領域から信号が届くことがないので、セキュリティのレベルを維持することができる。 According to the network system of the present invention, the infrared rays from the transmitter do not pass through the walls. As a result, it is possible to limit the predetermined area where access is permitted to one room, and the security level can be improved. In addition, if the present invention is applied to a network system in which only one position detector is used and the position detection accuracy of the terminal is simplified, a signal will not reach from an unexpected region, so that the security level can be maintained. Can do.
なお、発信器からの信号の種類は1つに限定する必要はなく、複数種類の信号を併用してネットワークシステムを構築することも可能である。これにより、それぞれの特徴を組み合わせて最適なネットワークシステムを構築することも可能になる。 The type of signal from the transmitter need not be limited to one, and a network system can be constructed by using a plurality of types of signals in combination. This also makes it possible to construct an optimal network system by combining the features.
あるいは、本発明のアクセスポイント装置は、上述のネットワークシステムにおけるアクセスポイント装置である。 Or the access point apparatus of this invention is an access point apparatus in the above-mentioned network system.
この発明のアクセスポイント装置によれば、上述の特徴を持つネットワークシステムの構築において、そのアクセスポイント装置となることができる。 According to the access point device of the present invention, the access point device can be used in the construction of the network system having the above-described features.
あるいは、本発明の端末用通信モジュールは、上述のネットワークシステムにおける各端末で使用される端末用通信モジュールであって、前記位置検知器による位置検知のための信号を発信する発信器を有することを特徴とする。 Or the communication module for terminals of this invention is a communication module for terminals used by each terminal in the above-mentioned network system, Comprising: It has a transmitter which transmits the signal for the position detection by the said position detector. Features.
ここで、端末用通信モジュールとは、例えば、端末がノートタイプのパーソナルコンピュータであれば、PCカードスロットに装着可能な無線LANカードなどが挙げられるが、これに限るものではない。端末の外部に装着して一体となるタイプ、あるいはケーブルなどで接続するタイプなどでもかまわない。また、端末本体に予め内蔵しておいてもよい。前記発信器は所定時間間隔で定期的に信号を発信するようにしてもよいし、必要に応じて不定期に信号を発信するようにしてもよい。また、前記発信器としては、例えば、電波や赤外線などで信号を発信するものが挙げられるが、これらに限るものではない。また、前記発信器から発信される信号には、端末毎の固有の識別信号が含まれていることが好ましく、例えば、公開鍵暗号方式の公開鍵が含まれるようにしてもよい。 Here, the terminal communication module includes, for example, a wireless LAN card that can be installed in a PC card slot if the terminal is a notebook personal computer, but is not limited thereto. A type that is attached to the outside of the terminal to be integrated, or a type that is connected by a cable or the like may be used. Further, it may be built in the terminal body in advance. The transmitter may transmit a signal periodically at a predetermined time interval, or may transmit a signal irregularly as necessary. Examples of the transmitter include a transmitter that transmits a signal by radio waves or infrared rays, but is not limited thereto. The signal transmitted from the transmitter preferably includes a unique identification signal for each terminal. For example, a public key of a public key cryptosystem may be included.
この発明の端末用通信モジュールによれば、この端末用通信モジュールの端末への装着、あるいは接続などにより、上述の特徴を持ったネットワークシステムに使用可能な端末を容易に準備することができるので、本発明のネットワークシステムの実現も容易になる。また、端末用通信モジュールの位置検知を確実に行うことができるので、各端末の位置を確実に把握できる。これにより、管理面の煩わしさを伴うことなく、セキュリティレベルの高い無線通信を実現することができる。 According to the terminal communication module of the present invention, a terminal usable in the network system having the above-described features can be easily prepared by mounting or connecting the terminal communication module to the terminal. Implementation of the network system of the present invention is also facilitated. Moreover, since the position detection of the communication module for terminals can be performed reliably, the position of each terminal can be reliably grasped. As a result, wireless communication with a high security level can be realized without bothering management.
あるいは、本発明のアクセス制御方法は、アクセスポイント装置を介して端末をネットワークへ無線接続するネットワークシステムにおけるアクセス制御方法であって、各端末の位置を検知し、所定領域内に存在するか否かを判別する判別ステップと、前記所定領域内に存在すると判別された端末に対してのみ、前記ネットワークへのアクセスを許可するアクセス許可ステップとを備えることを特徴とを特徴とする。 Alternatively, the access control method of the present invention is an access control method in a network system in which a terminal is wirelessly connected to a network via an access point device, and detects the position of each terminal and whether or not it exists within a predetermined area. And a permission step for permitting access to the network only for a terminal determined to be present in the predetermined area.
この発明のアクセス制御方法によれば、ネットワークへの接続の制御を端末の位置情報に基づいて行い、接続を許容してよい位置に存在する端末に限って、ネットワークへの接続を行うことができる。これにより、ネットワーク接続を許可する端末を事前に登録する必要がないので管理面の煩わしさがない。また、端末や端末用通信モジュールを紛失したり、盗難に遭ったりした場合などでも、位置情報によりアクセスの可否を判別するために、外部からの不正なアクセスを遮断でき、セキュリティを高く保持できる。 According to the access control method of the present invention, the connection to the network is controlled based on the location information of the terminal, and the connection to the network can be performed only for the terminal existing at a position where the connection may be permitted. . As a result, it is not necessary to register a terminal that permits network connection in advance, so there is no troublesome management. Further, even when a terminal or a terminal communication module is lost or stolen, unauthorized access from the outside can be blocked to determine whether access is possible or not based on position information, and security can be kept high.
また、本発明のアクセス制御方法は、前記判別ステップでは、固有の公開鍵を有する端末の位置を検知して、前記所定領域内に存在するか否かを判別するものであって、前記アクセス許可ステップは、前記所定領域内に存在すると判断された前記端末との通信用に共通鍵を生成する共通鍵生成ステップと、前記共通鍵を前記端末固有の前記公開鍵で暗号化する暗号化ステップと、前記暗号化ステップで暗号化された前記共通鍵を送信する共通鍵送信ステップと、前記共通鍵送信ステップで送信された前記共通鍵で、前記端末と暗号化された通信を行う通信ステップとを有することを特徴としてもよい。 In the access control method of the present invention, in the determining step, the position of a terminal having a unique public key is detected to determine whether the terminal exists in the predetermined area, and the access permission A step of generating a common key for communication with the terminal determined to exist within the predetermined area; and an encryption step of encrypting the common key with the public key unique to the terminal; A common key transmission step for transmitting the common key encrypted in the encryption step; and a communication step for performing encrypted communication with the terminal using the common key transmitted in the common key transmission step. It may be characterized by having.
この発明のアクセス制御方法によれば、暗号化された共通鍵の送信を端末の位置情報に基づいて行い、接続を許容してよい位置に存在する端末に対してのみ、暗号化された共通鍵を送信する。これにより、セキュリティをより高めることができる。 According to the access control method of the present invention, the encrypted common key is transmitted based on the location information of the terminal, and the encrypted common key is transmitted only to the terminal located at a position where the connection may be permitted. Send. Thereby, security can be improved more.
あるいは、本発明のアクセス制御プログラムは、コンピュータに上記アクセス制御方法を実行させることを特徴とする。 Or the access control program of this invention makes a computer perform the said access control method, It is characterized by the above-mentioned.
この発明のアクセス制御プログラムによれば、プログラムが実行可能なコンピュータ環境さえあれば、どこにおいても本発明のアクセス制御方法を実現することができる。さらに、このアクセス制御プログラムを汎用的なワンチップマイコンなどで実行可能なものにしておけば、本発明のアクセス制御方法を実行可能なアクセスポイント装置や、そのようなアクセスポイント装置を含めたネットワークシステムの開発や製造が容易になる。 According to the access control program of the present invention, the access control method of the present invention can be realized anywhere as long as there is a computer environment capable of executing the program. Furthermore, if this access control program can be executed by a general-purpose one-chip microcomputer or the like, an access point device capable of executing the access control method of the present invention, and a network system including such an access point device Development and manufacturing of the
あるいは、本発明のアクセス制御プログラムを記録した記録媒体は、コンピュータ読み取り可能な記録媒体であって、上記アクセス制御プログラムを記録していることを特徴とする。 Or the recording medium which recorded the access control program of this invention is a computer-readable recording medium, Comprising: The said access control program is recorded, It is characterized by the above-mentioned.
この発明のアクセス制御プログラムを記録した記録媒体によれば、本発明のアクセス制御方法を様々な場所や環境で実現することが容易になり、本発明のアクセス制御方法の汎用性を高めることができる。 According to the recording medium recording the access control program of the present invention, the access control method of the present invention can be easily realized in various places and environments, and the versatility of the access control method of the present invention can be enhanced. .
本発明のネットワークシステムおよびアクセス制御方法によれば、ネットワークへの接続の制御を端末の位置情報に基づいて行い、接続を許容してよい位置に存在する端末に限って、ネットワークへの接続を行うことができる。これにより、ネットワーク接続を許可する端末を事前に登録する必要がないので管理面の煩わしさがない。また、端末などを紛失したり、盗難に遭ったりした場合などでも、位置情報によりアクセスの可否を判別するために、外部からの不正なアクセスを遮断でき、セキュリティを高く保持できる。また、本発明のアクセスポイント装置および端末用通信モジュールを使用することで、本発明のネットワークシステムの実現が容易になる。 According to the network system and the access control method of the present invention, the connection to the network is controlled based on the location information of the terminal, and the connection to the network is performed only for the terminal that exists in a position where the connection may be permitted. be able to. As a result, it is not necessary to register a terminal that permits network connection in advance, so there is no troublesome management. Even when a terminal is lost or stolen, unauthorized access from the outside can be blocked in order to determine whether or not access is possible based on location information, and security can be maintained high. Further, by using the access point device and the terminal communication module of the present invention, the network system of the present invention can be easily realized.
また、本発明のアクセス制御プログラムでは、本発明のアクセス制御方法を実行可能なアクセスポイント装置や、そのようなアクセスポイント装置を含めたネットワークシステムの開発や製造が容易になる。 Further, the access control program of the present invention facilitates the development and manufacture of an access point device capable of executing the access control method of the present invention and a network system including such an access point device.
また、本発明のアクセス制御プログラムでは、本発明のアクセス制御方法を様々な場所や環境で実現することが容易になり、本発明のアクセス制御方法の汎用性を高めることができる。 Moreover, the access control program of the present invention makes it easy to implement the access control method of the present invention in various places and environments, and can enhance the versatility of the access control method of the present invention.
本発明では動的にユーザ(コンピュータ装置)の位置情報を取得し、その位置情報により端末を認証する方式を提案する。これにより、管理者による登録などの手間を省き、かつ、予め指定したエリア内にいないとアクセスを禁止するため、外部からの不正なアクセスを遮断し、セキュリティレベルを向上させることができる。 The present invention proposes a method of dynamically acquiring user (computer device) location information and authenticating a terminal based on the location information. This saves the trouble of registration by the administrator and prohibits access unless it is in the area designated in advance, so that unauthorized access from outside can be blocked and the security level can be improved.
一般的なコンピュータ装置の利用を考えた場合、正規の利用者は一定のエリア内にいてコンピュータ装置をネットワークに接続する。このエリアに入るまでには通常、何らかのセキュリティが施されており、これらのセキュリティをぬけて所定のエリアに侵入することは、外部で漏れ出てくる電波を傍受する場合に比べ十分に敷居が高い。 When considering the use of a general computer device, an authorized user is in a certain area and connects the computer device to a network. There is usually some kind of security before entering this area, and entering these areas without such security is sufficiently high compared to intercepting radio waves leaking outside. .
例えば、企業の場合を考えると、まず社屋に入る時点で訪問者のチェックがなされる。さらに居室に入るためには、多くの場合、何らかのIDやパスワードが必要になる。また、不審者が居室内に長時間滞在すれば他の社員に気づかれるといったこともある。したがって、居室にいてネットワークにアクセスをしているということ自体が、そのユーザの身元をある程度保証していると言える。 For example, in the case of a company, visitors are first checked when entering a company building. Furthermore, in order to enter a room, in many cases, some ID or password is required. Also, if a suspicious person stays in the room for a long time, other employees may notice it. Therefore, it can be said that the fact that the user is in the room and accessing the network assures the identity of the user to some extent.
以下、本発明の実施の形態を、図面を参照して説明する。 Hereinafter, embodiments of the present invention will be described with reference to the drawings.
<第1実施形態>
図1は本発明の第1実施形態に係るネットワークシステム1の概略構成図である。
<First Embodiment>
FIG. 1 is a schematic configuration diagram of a
図1に示すように、ネットワークシステム1は、有線ネットワーク7(LANもしくはWANなど)との接続に介在するネットワークサーバ2と、ネットワークサーバ2と接続されるとともに無線ネットワークの親機となるアクセスポイント3と、無線ネットワークの子機となることが可能な少なくとも1台の端末4(コンピュータ装置)と、端末4の位置情報を検知する少なくとも1つの位置検知センサ5と、アクセスポイント3および位置検知センサ5と接続されるとともに位置検知センサ5によって検知された端末4の位置情報を管理する位置管理サーバ6とを備えている。
As shown in FIG. 1, a
ここで、端末4は端末用通信モジュール(不図示)を有しており、この端末用通信モジュールによってアクセスポイント3を経由して有線ネットワーク7との暗号化された通信10を行うことが可能になっている。端末用通信モジュールとは、例えば、端末4がノートタイプのパーソナルコンピュータであれば、PCカードスロットに装着可能な無線LANカードなどが挙げられるが、これに限るものではない。端末4の外部に装着して一体となるタイプ、あるいはケーブルなどで接続するタイプなどでもかまわない。端末4として使用されるコンピュータ装置にとって汎用的なインターフェイスを有するタイプの端末用通信モジュールであれば、そのような端末用通信モジュールを使用するだけで、本発明のネットワークシステムに使用可能な端末4を容易に準備することができる。また、このような端末用通信モジュールを端末4本体に予め内蔵しておいてもよい。なお、このような端末用通信モジュールの構成例については、図12を参照して後述する。また、この図1では、アクセスポイント3はネットワークサーバ2を介して有線ネットワーク7と接続されているが、ネットワークサーバ2あるいはその機能をアクセスポイント3に内蔵するようにしてもよい。あるいは、アクセスポイント3を有線ネットワーク7に直結できるようにしてもよい。なお、アクセスポイント3の構成例については、図13を参照して後述する。
Here, the
このネットワークシステム1では、各端末4の位置情報が各位置検知センサ5によって検知され、それらの位置情報は位置管理サーバ6によって管理されている。各端末4の位置情報を取得するためにはLPS(Local Positioning System、詳細は後述)と呼ばれる技術が用いられる。具体的には、例えば、複数の距離センサを用いて各端末4の位置を検知するようにしてもよいし、複数の方向センサを用いて各端末4の位置を検知するようにしてもよい。このようにすることで各端末4の位置を動的に検知することが可能になる。各端末4が有する端末用通信モジュールには、位置検知センサ5に自らの位置を知らせるための信号を発信するビーコン(詳細は後述)が内蔵されている。位置検知センサ5が各端末4を識別してそれぞれの位置を確実に検知できるようにするには、例えば、ビーコンから発信される信号に固有の識別信号が含まれていることが好ましい。ここでは、このビーコンから発信される信号に各端末4の公開鍵暗号方式の公開鍵が含まれており、これによって位置管理サーバ6側では各端末4を識別してそれぞれの位置を特定することを可能としている。
In this
位置管理サーバ6は、各端末4の位置情報に基づいて、各端末4が予め指定したエリア8(以降「サービスエリア8」と表記)内にあるか否かを判断する。アクセスポイント3はこの判断結果に基づいて、サービスエリア8内にあると判断した端末4に対しては無線ネットワークへのアクセスに必要な共通鍵K1を配布する。一方、サービスエリア8外にあると判断した端末4に対しては、この共通鍵K1の配布を行わないようにして不正なアクセスを遮断する。また、共通鍵K1をユーザと時間で変化させて再配布を行うときには、サービスエリア8外の端末4に対しては再配布を行わないことで情報の漏洩を防止する。ここで、共通鍵K1は端末4毎の公開鍵によって暗号化して各端末4へ配布するため、無線ネットワーク上を流れるデータは端末4毎にそれぞれ異なる。
The
なお、この図1では複数の位置検知センサ5を図示しているが、取得すべき各端末4の位置情報に特に精度が必要でない場合などは、例えば1つの距離センサのみを使用し、その距離センサからの距離のみに基づいてサービスエリア8を規定するようにしてもよい。
In FIG. 1, a plurality of
このような構成によれば、端末4の位置情報に基づいて、その端末4やユーザがサービスエリア8内からの正規アクセスであるか否かを判断することができる。端末4やユーザを事前に登録することが不要になるため、新しいコンピュータ装置を新規に導入したり、一時的にコンピュータ装置を持ち込んで利用したりする場合でも、登録および削除のために管理者の手を煩わせることがない。これにより、無線LANが持つ自由度の高さを損なうことなく、セキュリティレベルの高いネットワーク構成を実現することが可能となる。
According to such a configuration, it is possible to determine whether the
図2はLPSの一例として、距離センサによる位置検出方法の説明図である。 FIG. 2 is an explanatory diagram of a position detection method using a distance sensor as an example of LPS.
LPSは、電磁波、赤外線、超音波などを発信するデバイス(以降「ビーコン」と表記)と、異なる位置に配置された複数のセンサから構成されるシステムである。各センサで取得した情報(例えば、センサとビーコンの距離)から計算によって各センサとの相対的な位置が算出される。原理的には、カーナビゲーションシステムなどに応用されているGPS(Global Positioning System)と同様である。 The LPS is a system including a device (hereinafter referred to as “beacon”) that transmits electromagnetic waves, infrared rays, ultrasonic waves, and the like, and a plurality of sensors arranged at different positions. A relative position with each sensor is calculated by calculation from information acquired by each sensor (for example, a distance between the sensor and the beacon). In principle, it is the same as GPS (Global Positioning System) applied to car navigation systems and the like.
図2に示すように、ここでは3つの距離センサ21a〜21cがそれぞれ異なる位置に配置されている。ビーコン20から発信される信号は各距離センサ21a〜21cによって検出され、検出された信号に基づいてビーコン20と各距離センサ21a〜21cの距離がそれぞれ求められる。この図13では、ビーコン20と距離センサ21aの距離はαであり、ビーコン20は距離センサ21aを中心とする半径αの円22aの円周上のいずれかの位置に存在することがわかる。同様に、ビーコン20と距離センサ21bの距離はβであり、ビーコン20は距離センサ21bを中心とする半径βの円22bの円周上のいずれかの位置に存在することがわかる。また、ビーコン20と距離センサ21cの距離はγであり、ビーコン20は距離センサ21cを中心とする半径γの円22cの円周上のいずれかの位置に存在することがわかる。各距離センサ21a〜21cの位置は予めわかっているので、ビーコン20の位置は円22aと円22bと円22cとの交点の位置として算出することができる。
As shown in FIG. 2, here, the three
図3は本発明の第1実施形態に係るネットワークシステム1において、端末4からアクセスポイント3へ接続要求が出されてから通信10が確立されるまでの処理のフローチャートである。図4はこの処理概要の模式的な説明図であり、端末4がサービスエリア8内にある場合を示す。図5はこの処理概要の模式的な説明図であり、端末4がサービスエリア8外にある場合を示す。図6は、このネットワークシステム1における位置管理サーバ6の位置管理リストL1の例である。図7は、このネットワークシステム1におけるアクセスポイント3の端末管理リストL2の例である。
FIG. 3 is a flowchart of processing from when a connection request is issued from the
図3、図4、および図5に示すように、まず、端末4とアクセスポイント3の間で無線の通信チャネルが確立される(ステップS301)。次に、端末4から認証の要求が送られる(ステップS302)。この認証要求には、要求を出す端末4の公開鍵K2が含まれる。アクセスポイント3は、位置管理サーバ6に対し、受信した公開鍵K2を含めた位置確認要求を送信する(ステップS303)。
As shown in FIGS. 3, 4, and 5, first, a wireless communication channel is established between the terminal 4 and the access point 3 (step S301). Next, an authentication request is sent from the terminal 4 (step S302). This authentication request includes the public key K2 of the
位置管理サーバ6は、要求された公開鍵K2について位置管理リストL1(図6参照)を検索し、対応する端末4がサービスエリア8(図1参照)内にあるかどうかを判別する(ステップS304)。そして、サービスエリア8内であればステップS306に進み、サービスエリア外であれば、ステップS305に進む。ここで、位置管理サーバ6では、一定の時間間隔で各端末4の位置情報を取得し、予め登録されているサービスエリア8の位置情報に照らしてサービスエリア8内外の判別を行い、その結果を位置管理リストL1に随時反映させているものとする。
The
位置確認を要求された端末4がサービスエリア8内になかった場合(図5参照)、位置管理サーバ6は端末4がサービスエリア8外にあることを知らせる警告信号をアクセスポイント3に送り返し、その警告信号を受けたアクセスポイント3は、同様に端末4に対してサービスエリア8外の警告を発信(ステップS305)した後に処理を終了する。したがって、端末4側では共通鍵K1が受信できないために通信10を開始することができない。
If the
位置確認を要求された端末4がサービスエリア8内にあった場合(図4参照)には、位置管理サーバ6は共通鍵の種(暗号化鍵を生成する際に用いる乱数の種)をアクセスポイント3に送信する(ステップS306)。このとき、位置管理サーバ6は、端末4がサービスエリア8内にあることを通達する信号を送信するだけでもよい。
When the
アクセスポイント3は、受信した暗号化鍵の種をもとにして、接続を要求してきた端末4に対応する共通鍵K1を生成する(ステップS307)。さらに、共通鍵K1、公開鍵K2、認証を実施した時刻、端末のIPアドレスをセットにして端末管理リストL2(図7参照)に保存する。そして、共通鍵K1を公開鍵暗号方式により暗号化(ステップS308)した後に、暗号化された共通鍵K1を端末4に配布する(ステップS309)。
The
共通鍵K1を受信した端末4は、秘密鍵K3を用いて復号する(ステップS310)。端末4では復号した共通鍵K1を用いてアクセスポイント3との間で通信10を行う。
The
以上のようにして、端末4がサービスエリア8内にある場合に限って、アクセスポイント3経由で端末4と有線ネットワーク7との間の通信10が確立される。
As described above,
図8は本発明の第1実施形態に係るネットワークシステム1における共通鍵K1の再配布処理のフローチャートである。図9はこの処理概要の模式的な説明図であり、端末4がサービスエリア8内にある場合を示す。図10はこの処理概要の模式的な説明図であり、端末4がサービスエリア8内からサービスエリア外に移動した場合を示す。
FIG. 8 is a flowchart of redistribution processing of the common key K1 in the
図8、図9、および図10に示すように、アクセスポイント3経由で端末4と有線ネットワーク7との間の通信10が確立されている場合でも、アクセスポイント3は所定時間毎に端末管理リストL2(図7参照)を確認する。そのとき、前回の認証から所定時間以上経過した端末4の有無を確認し(ステップS801)。そのような端末4があればステップS802に進み、そのような端末4がなければ処理を終了する。
As shown in FIG. 8, FIG. 9, and FIG. 10, even when the
前回の認証から所定時間以上経過した端末4がある場合には、アクセスポイント3はその端末4に対して位置再確認処理を開始することを通知する(ステップS802)。位置再確認処理の開始を受信した端末4は待機状態となる。さらに、アクセスポイント3は、位置管理サーバ6に対してその端末4の位置確認要求を送信する(ステップS803)。この要求には、対応する端末4の公開鍵K2が含まれる。
If there is a terminal 4 that has passed a predetermined time or more from the previous authentication, the
位置管理サーバ6は、受信した要求の公開鍵K2について位置管理リストL1(図6参照)を検索して、対応する端末4がサービスエリア8(図1参照)内にあるか否かを判別する(ステップS804)。そして、サービスエリア8内にあればステップS806に進み、そうでなければステップS805に進む。ここで、位置管理サーバ6では、一定の時間間隔で各端末4の位置情報を取得して、予め登録されているサービスエリア8の位置情報に照らして、サービスエリア8内外の判別を行い、その結果を位置管理リストL1に随時反映させているものとする。
The
対応する端末4がサービスエリア8内にあった場合(図9参照)、位置管理サーバ6は共通鍵の種をアクセスポイント3に送信する(ステップS806)。このとき、位置管理サーバ6は端末4がサービスエリア8内にあることを通達する信号を送信するだけでもよい。アクセスポイント3は、受信した種をもとに、要求してきた端末4に対応する共通鍵K11を新たに生成する(ステップS807)。さらに、端末管理リストL2の対応する端末4について、共通鍵K11と認証実施の時刻を更新する。また、新しい共通鍵K11を公開鍵暗号方式により暗号化(ステップS808)した後に、暗号化された新しい共通鍵K11を端末4に再配布する(ステップS809)。新しい共通鍵K11を受信した端末4では、秘密鍵K3で復号(ステップS810)して通信10を再開する。
When the
対応する端末4がサービスエリア8内になかった場合(図10参照。前回位置確認時はサービスエリア8内にいて、その後にサービスエリア8外に出た場合など)、位置管理サーバ6は、端末4がサービスエリア8外にあることを知らせる警告信号をアクセスポイント3に送り返し、その警告信号を受けたアクセスポイント3は、同様に端末4に対してサービスエリア8外の警告を発信(ステップS805)した後に処理を終了する。したがって、端末4側では、新しい共通鍵K11が受信できないために通信10を再開することができない。
When the
以上のようにして、端末4がサービスエリア8内にある場合に限って、新しい共通鍵K11が再配布される。
As described above, the new common key K11 is redistributed only when the
図11は本発明の第1実施形態に係るネットワークシステム1において、サービスエリア8外の端末4aから不正なアクセス(なりすまし)が試みられた場合を示す。
FIG. 11 shows a case where unauthorized access (spoofing) is attempted from the terminal 4a outside the
以上のような認証と共通鍵配布方式によれば、不正にアクセスするためにはサービスエリア8(図1参照)内で位置検知センサ5(図1参照)に認識されている端末4の公開鍵K2と、その公開鍵K2に対をなす秘密鍵K3(図9参照)との両方が必要になる。
According to the authentication and the common key distribution method as described above, the public key of the
例えば、図11に示すように、サービスエリア8外にいる端末4aから不正にアクセスするために、サービスエリア8内にある端末4の公開鍵K2を用いて認証を要求した場合、位置管理サーバ6はサービスエリア8内の正規の端末4と誤認してしまうため、暗号化された共通鍵K1がサービスエリア8外の不正な端末4aに配布されることになる。すなわち、ステップS301〜S309(ステップS305を除く)の各ステップが順に実行される(図3および図4を参照した説明と同様)。
For example, as shown in FIG. 11, in the case where authentication is requested using the public key K2 of the
しかしながら、サービスエリア8外の不正な端末4aは正規の秘密鍵K3を持たないために、アクセスポイント3から配布された公開鍵K2により暗号化されている共通鍵K1の復号処理に失敗する(ステップS1101)。したがって、通信10を確立することはできない(ステップS1102)。
However, since the unauthorized terminal 4a outside the
また、秘密鍵K3を通信モジュールのROM(Read Only Memory)に書き込むなどして通信モジュールと一体化してしまえば、通信モジュールが盗難されない限り、秘密鍵K3が漏洩することはない。仮に通信モジュールが盗難された場合でも、その通信モジュールがサービスエリア8内にない限りは不正なアクセスを遮断することができる。さらに、通信モジュール内の秘密鍵K3を不正に読み出そうとした場合には、秘密鍵情報が揮発するような仕組みを組み合わせることでセキュリティレベルをさらに高めることができる。
Further, if the secret key K3 is integrated with the communication module by writing it into a ROM (Read Only Memory) of the communication module, the secret key K3 will not be leaked unless the communication module is stolen. Even if a communication module is stolen, unauthorized access can be blocked unless the communication module is in the
図12は本発明の第1実施形態に係るネットワークシステム1における端末4が有する通信モジュール9の構成例のブロック図である。
FIG. 12 is a block diagram of a configuration example of the communication module 9 included in the
図12に示すように、アンテナ900aを介して信号送受信部901で受信された信号は、受信信号判別部902において判別され、それぞれ適切な処理部へ送られる。
As shown in FIG. 12, the signal received by the signal transmitting / receiving
受信信号が公開鍵K2(図4参照)で暗号化された共通鍵K1(図4参照)の場合には、公開鍵復号処理部903において秘密鍵記憶部904に記録されている秘密鍵K3(図4参照)を使って復号され、共通鍵記憶部907に記憶される。
When the received signal is the common key K1 (see FIG. 4) encrypted with the public key K2 (see FIG. 4), the secret key K3 (recorded in the secret
一方、受信信号が共通鍵K1により暗号化された信号であった場合には、共通鍵暗号処理部906に送られ、共通鍵記憶部907に記録されている共通鍵K1を用いて復号される。復号された平文信号は、外部接続部910を通じて端末4(図1参照)へと送られる。
On the other hand, if the received signal is a signal encrypted with the common key K1, it is sent to the common key
逆に、端末4から送られてきた信号は、外部接続部910から共通鍵暗号処理部906に送られ、共通鍵記憶部907にある共通鍵K1を用いて暗号化され、送信制御部905へと送られる。送信制御部905から信号送受信部901を介して無線信号に変調され、アクセスポイント3(図1参照)に向けて送信される。
Conversely, a signal sent from the
接続要求送信の場合には、送信制御部905で公開鍵記憶部908に記憶された公開鍵K2を含めた接続要求信号が生成され、信号送受信部901を通し、さらにアンテナ900aを介してアクセスポイント3に送信される。
In the case of connection request transmission, the
また、通信モジュール9の位置情報を位置検知センサ5(図1参照)で取得させるために、ビーコン909からアンテナ900bを介して定期的に信号を発信する。この信号には、公開鍵記憶部908に記録された公開鍵情報が含まれる。ここでは、ビーコン909としては無線信号を発信するデバイスを想定した図となっているが、ビーコン909としては赤外線により信号を発信するデバイスや超音波を発信するデバイスであってもよい。
Further, in order to acquire the position information of the communication module 9 by the position detection sensor 5 (see FIG. 1), a signal is periodically transmitted from the
図13は本発明の第1実施形態に係るネットワークシステム1におけるアクセスポイント3の構成例のブロック図である。
FIG. 13 is a block diagram of a configuration example of the
図13に示すように、アンテナ30を介して信号送受信部31で受信された信号は、受信信号判別部32において判別され、それぞれ適切な処理部へと送られる。
As shown in FIG. 13, the signal received by the signal transmission /
受信した信号が接続要求信号であった場合は、認証処理制御部36へと送られる。認証処理制御部36では、信号に含まれる端末を識別する公開鍵K2(図4参照)を分離して、位置確認要求信号に含めて送信する。送信された位置確認要求信号は、外部接続部39を介して位置管理サーバ6(図1参照)へと送信される。
If the received signal is a connection request signal, it is sent to the authentication
また、位置管理サーバ6から送られてきた共通鍵の種は、外部接続部39を通って認証処理制御部36へと送られる。共通鍵の種は、認証処理制御部36から共通鍵生成部35へと送られ、共通鍵K1(図4参照)が生成される。生成された鍵は、対象となる端末4(図1参照)の公開鍵K2とともに、公開鍵暗号処理部34と認証処理制御部36とへ送られる。
Further, the type of the common key sent from the
認証処理制御部36に送られた共通鍵K1は、公開鍵K2とともに端末管理リスト記憶部37に保持されている端末管理リストL2(図7参照)に記録される。このとき、端末管理リストL2の該当する端末4について、認証処理時刻も記録する。
The common key K1 sent to the authentication
一方、公開鍵暗号処理部34へと送られた共通鍵K1は、ともに送られた公開鍵K2を用いて暗号化される。暗号化された共通鍵K1は、送信制御部33から信号送受信部31へと送られ、無線信号へと変調されてアンテナ30を介して端末4へ送信される。
On the other hand, the common key K1 sent to the public key
受信した信号が、共通鍵K1で暗号化された信号の場合、信号は受信信号判別部32から共通鍵暗号処理部38へと送られる。共通鍵暗号処理部38では、信号に含まれる端末4の公開鍵K2を用いて、端末管理リスト記憶部37に保持されている端末管理リストL2を検索し、対応する共通鍵K1を取得する。取得した共通鍵K1を用いて暗号を復号し、復号された平文の信号は、外部接続部39を介してネットワークサーバ2(図1参照)に送られる。
If the received signal is a signal encrypted with the common
一方、ネットワークサーバ2から端末4に対して送られてくる信号は、外部接続部39を通して共通鍵暗号処理部38へと送られる。共通鍵暗号処理部38では、IPアドレスを用いて端末管理リスト記憶部37に保持される端末管理リストL2を検索して、対応する共通鍵K1を取得する。共通鍵暗号処理部38では、取得した共通鍵K1を用いて送られてきた信号を暗号化する。暗号化された信号は、送信制御部33を通り、信号送受信部31で無線信号に変調されてアンテナ30を介して端末4に送信される。
On the other hand, a signal sent from the
以上の第1実施形態の説明では、位置管理サーバ6、ネットワークサーバ2、位置検知センサ5などが独立して存在し、アクセスポイント3の外部にそれぞれ接続された構成例を示したが、このような構成に限るものではない。例えば、位置管理サーバ6をアクセスポイント3に内蔵してもよい。また、位置検知センサ5が複数あるときは、そのうちの1つをアクセスポイント3に内蔵してもよい。位置検知センサ5が距離センサ1つのみである場合、この距離センサをアクセスポイント3に内蔵してもよい。
In the above description of the first embodiment, the
<第2実施形態>
本発明は各構成要素をそれぞれ専用装置によって実現する実施形態のみに限るものではない。上述の第1実施形態のネットワークシステムにおけるアクセス制御方法は、上述のアクセス制御方法を実行させるアクセス制御プログラムをコンピュータに実行させることによっても実現が可能であり、これを第2実施形態とする。
Second Embodiment
The present invention is not limited to an embodiment in which each component is realized by a dedicated device. The access control method in the network system of the first embodiment described above can also be realized by causing a computer to execute an access control program that executes the access control method described above, which is the second embodiment.
ここで、コンピュータとしては、例えば、電子機器などへの組み込みに好適なワンチップマイコンなどが挙げられるが、これに限るものではない。より汎用的なコンピュータ装置を使用してもよい。 Here, examples of the computer include a one-chip microcomputer suitable for incorporation into an electronic device, but are not limited thereto. A more general purpose computer device may be used.
このような構成によれば、アクセス制御プログラムが実行可能なコンピュータがあれば、本発明のアクセス制御方法を実行可能なアクセスポイント装置や、そのようなアクセスポイント装置を含めたネットワークシステムの開発や製造が容易になる。汎用的なワンチップマイコンなどを電子部品として使用することができるので、アクセスポイント装置などのコストダウンや小型化などにも貢献できる。 According to such a configuration, if there is a computer that can execute the access control program, an access point device that can execute the access control method of the present invention, and a network system including such an access point device are developed and manufactured. Becomes easier. Since a general-purpose one-chip microcomputer can be used as an electronic component, it can contribute to cost reduction and downsizing of an access point device.
<第3実施形態>
第2実施形態のようなアクセス制御プログラムは、コンピュータに読み取り可能な記録媒体に記録されていてもよく、これを第3実施形態とする。
<Third Embodiment>
The access control program as in the second embodiment may be recorded on a computer-readable recording medium, and this is the third embodiment.
記録媒体としては、メモリー、例えばROMのように、そのもの自体がプログラムメディアであってもよいし、また、アクセスポイント装置などに外部記憶装置としてコンピュータ読み取り装置が設けられ、そこに記憶媒体、例えばCD−ROMやDVD−ROMなどを挿入することで読み取り可能なプログラムメディアであってもよい。 The recording medium may itself be a program medium such as a memory such as a ROM, or a computer reading device provided as an external storage device in an access point device or the like, and a storage medium such as a CD A program medium that can be read by inserting a ROM, a DVD-ROM, or the like may be used.
いずれの場合においても、記録されているプログラムは、マイクロプロセッサがアクセスして実行させる構成であってもよい。あるいは、まずプログラムを読み出し、読み出されたプログラムがコンピュータプログラム記憶領域にロードされて、そのプログラムが実行される方式であってもよい。なお、このロード用プログラムは予め内蔵されているものとする。 In either case, the recorded program may be configured to be accessed and executed by the microprocessor. Alternatively, a method may be used in which a program is first read out, the read program is loaded into a computer program storage area, and the program is executed. This loading program is assumed to be built in beforehand.
ここで、上記プログラムメディアは、本体と分離可能に構成される記録媒体であり、磁気テープやカセットテープなどのテープ系、FD(フレキシブルディスク)やHD(ハードディスク)などの磁気ディスク系、CD−ROM/MO/MD/DVDなどの光ディスク系、ICカード/メモリーカード/光カードなどのカード系、あるいは、マスクROM/EPROM/EEPROM/フラッシュROMなどによる半導体メモリーを含めた固定的にプログラムを坦持する媒体であってもよい。 Here, the program medium is a recording medium configured to be separable from the main body, and is a tape system such as a magnetic tape or a cassette tape, a magnetic disk system such as an FD (flexible disk) or HD (hard disk), or a CD-ROM. Supports fixed programs including optical disks such as / MO / MD / DVD, card systems such as IC card / memory card / optical card, or semiconductor memory such as mask ROM / EPROM / EEPROM / flash ROM It may be a medium.
これにより、本発明のアクセス制御方法を様々な場所や環境で実現することが容易になり、本発明のアクセス制御方法の汎用性を高めることができる。 Thereby, it becomes easy to implement the access control method of the present invention in various places and environments, and the versatility of the access control method of the present invention can be enhanced.
また、本発明において、インターネットを含む通信ネットワークと接続可能なシステム構成である場合、通信ネットワークからプログラムをダウンロードするように流動的にプログラムを坦持する媒体であってもよい。そのように通信ネットワークからプログラムをダウンロードする場合には、そのダウンロード用プログラムは予め内蔵しておくか、あるいは別の記録媒体からインストールされるものであってもよい。なお、記録媒体に記録されている内容としてはプログラムに限定されず、データであってもよい。 In the present invention, in the case of a system configuration that can be connected to a communication network including the Internet, a medium that fluidly carries the program so as to download the program from the communication network may be used. When the program is downloaded from the communication network as described above, the download program may be installed in advance or may be installed from another recording medium. The content recorded on the recording medium is not limited to a program, and may be data.
これにより、物理的な記録媒体の必要なしに、本発明のアクセス制御方法を様々な場所や環境で実現することが容易になり、本発明のアクセス制御方法の汎用性を一層高めることができる。 Thereby, it becomes easy to implement the access control method of the present invention in various places and environments without the need for a physical recording medium, and the versatility of the access control method of the present invention can be further enhanced.
なお、本発明は、その精神または主要な特徴から逸脱することなく、他のいろいろな形で実施することができる。そのため、上述の実施形態はあらゆる点で単なる例示にすぎず、限定的に解釈してはならない。本発明の範囲は特許請求の範囲によって示すものであって、明細書本文には、なんら拘束されない。さらに、特許請求の範囲の均等範囲に属する変形や変更は、全て本発明の範囲内のものである。 The present invention can be implemented in various other forms without departing from the spirit or main features thereof. Therefore, the above-mentioned embodiment is only a mere illustration in all points, and should not be interpreted limitedly. The scope of the present invention is indicated by the claims, and is not restricted by the text of the specification. Further, all modifications and changes belonging to the equivalent scope of the claims are within the scope of the present invention.
1 ネットワークシステム
2 ネットワークサーバ
3 アクセスポイント
4 端末
4a 不正な端末
5 位置検知センサ
6 位置管理サーバ
7 有線ネットワーク(LANもしくはWAN)
8 サービスエリア
9 通信モジュール
10 通信(無線)
20 ビーコン
21a、21b、21c 距離センサ
30 アンテナ
31 信号送受信部
32 受信信号判別部
33 送信制御部
34 公開鍵暗号処理部
35 共通鍵生成部
36 認証処理制御部
37 端末管理リスト記憶部
38 共通鍵暗号処理部
39 外部接続部
900a、900b アンテナ
901 信号送受信部
902 受信信号判別部
903 公開鍵復号処理部
904 秘密鍵記憶部
905 送信制御部
906 共通鍵暗号処理部
907 共通鍵記憶部
908 公開鍵記憶部
909 ビーコン
910 外部接続部
K1 共通鍵
K11 共通鍵(再配布時)
K2 公開鍵(端末)
K3 秘密鍵(端末)
L1 位置管理リスト
L2 端末管理リスト
DESCRIPTION OF
8 Service area 9
20
K2 public key (terminal)
K3 secret key (terminal)
L1 Location management list L2 Terminal management list
Claims (27)
各端末の位置情報を検知する位置検知器と、
前記位置検知器によって検知された各端末の位置情報を管理する位置情報管理装置とを備え、
前記位置情報管理装置において管理される各端末の位置情報に基づいて、前記アクセスポイント装置が各端末の前記ネットワークへの接続を制御することを特徴とするネットワークシステム。 In a network system for wirelessly connecting a terminal to a network via an access point device,
A position detector that detects position information of each terminal;
A location information management device that manages location information of each terminal detected by the location detector;
A network system, wherein the access point device controls connection of each terminal to the network based on location information of each terminal managed by the location information management device.
前記位置情報管理装置において管理される各端末の位置情報に基づいて、所定領域内に存在すると判断された各端末に対しては前記ネットワークへの接続を許可し、前記所定領域外に存在すると判断された各端末に対しては前記ネットワークへの接続を禁止することを特徴とするネットワークシステム。 The network system according to claim 1,
Based on the location information of each terminal managed by the location information management device, each terminal determined to exist within a predetermined area is permitted to connect to the network and is determined to exist outside the predetermined area. A network system characterized in that connection to the network is prohibited for each terminal that has been made.
前記アクセスポイント装置および各端末がそれぞれ暗号通信手段を有していることを特徴とするネットワークシステム。 The network system according to claim 1 or 2,
A network system, wherein the access point device and each terminal each have encryption communication means.
前記アクセスポイント装置が各端末に対して端末毎に異なる暗号鍵情報を送信するとともに、所定時間経過毎に前記暗号鍵情報を更新して各端末に対して再送信するものであって、
前記位置情報管理装置において管理される各端末の位置情報に基づいて、前記アクセスポイント装置が、更新した前記暗号鍵情報の各端末への再送信を制御することを特徴とするネットワークシステム。 The network system according to claim 3,
The access point device transmits different encryption key information for each terminal to each terminal, updates the encryption key information every predetermined time, and retransmits to each terminal,
A network system, wherein the access point device controls retransmission of the updated encryption key information to each terminal based on location information of each terminal managed by the location information management device.
前記位置情報管理装置において管理される各端末の位置情報に基づいて、所定領域内に存在すると判断された各端末に対しては更新した前記暗号鍵情報の再送信を許可し、前記所定領域外に存在すると判断された各端末に対しては更新した前記暗号鍵情報の再送信をを禁止することを特徴とするネットワークシステム。 The network system according to claim 4, wherein
Based on the location information of each terminal managed by the location information management device, each terminal determined to exist within the predetermined area is allowed to retransmit the updated encryption key information, and is out of the predetermined area. A network system characterized by prohibiting re-transmission of the updated encryption key information for each terminal determined to exist in the network.
前記位置検知器が複数存在することを特徴とするネットワークシステム。 The network system according to any one of claims 1 to 5,
A network system comprising a plurality of the position detectors.
前記位置検知器が1つのみ存在することを特徴とするネットワークシステム。 The network system according to any one of claims 1 to 5,
A network system, wherein there is only one position detector.
前記位置検知器は各端末までの距離を測定する距離センサであることを特徴とするネットワークシステム。 The network system according to claim 6 or 7,
The network system, wherein the position detector is a distance sensor that measures a distance to each terminal.
前記アクセスポイント装置が前記位置情報管理装置を内蔵していることを特徴とするネットワークシステム。 The network system according to any one of claims 1 to 5,
The network system, wherein the access point device incorporates the location information management device.
前記アクセスポイント装置が前記位置検知器を内蔵していることを特徴とするネットワークシステム。 The network system according to claim 9, wherein
The network system, wherein the access point device incorporates the position detector.
各端末が前記位置検知器による位置検知のための信号を発信する発信器を有することを特徴とするネットワークシステム。 The network system according to any one of claims 1 to 5,
A network system characterized in that each terminal has a transmitter for transmitting a signal for position detection by the position detector.
前記発信器は所定時間間隔で定期的に信号を発信することを特徴とするネットワークシステム。 The network system according to claim 11, wherein
The network system, wherein the transmitter periodically transmits a signal at a predetermined time interval.
前記発信器は電波により信号を発信することを特徴とするネットワークシステム。 The network system according to claim 11 or 12,
The network system characterized in that the transmitter transmits a signal by radio waves.
前記発信器は赤外線により信号を発信することを特徴とするネットワークシステム。 The network system according to claim 11 or 12,
The network system characterized in that the transmitter transmits a signal by infrared rays.
前記信号は端末毎に固有の識別情報を含んでいることを特徴とするネットワークシステム。 The network system according to any one of claims 11 to 14,
The network system, wherein the signal includes identification information unique to each terminal.
前記識別情報は公開鍵暗号方式の公開鍵であることを特徴とするネットワークシステム。 The network system according to claim 15, wherein
The network system characterized in that the identification information is a public key of a public key cryptosystem.
前記位置検知器による位置検知のための信号を発信する発信器を有することを特徴とする端末用通信モジュール。 A communication module for a terminal used in each terminal in the network system according to any one of claims 1 to 10,
A terminal communication module comprising a transmitter for transmitting a signal for position detection by the position detector.
前記発信器は所定時間間隔で定期的に信号を発信することを特徴とする端末用通信モジュール。 The communication module for terminals according to claim 18,
The terminal communication module, wherein the transmitter periodically transmits a signal at a predetermined time interval.
前記発信器は電波により信号を発信することを特徴とする端末用通信モジュール。 The terminal communication module according to claim 18 or 19,
The communication module for terminals, wherein the transmitter transmits a signal by radio waves.
前記発信器は赤外線により信号を発信することを特徴とする端末用通信モジュール。 The terminal communication module according to claim 18 or 19,
The terminal communication module, wherein the transmitter transmits a signal by infrared rays.
前記信号は端末用通信モジュール毎に固有の識別情報を含んでいることを特徴とするネットワークシステム。 The communication module for terminals according to any one of claims 18 to 21,
The network system, wherein the signal includes identification information unique to each terminal communication module.
前記識別情報は公開鍵暗号方式の公開鍵であることを特徴とするネットワークシステム。 The communication module for terminals according to claim 22,
The network system characterized in that the identification information is a public key of a public key cryptosystem.
各端末の位置を検知し、所定領域内に存在するか否かを判別する判別ステップと、
前記所定領域内に存在すると判別された端末に対してのみ、前記ネットワークへのアクセスを許可するアクセス許可ステップとを備えることを特徴とするアクセス制御方法。 An access control method in a network system for wirelessly connecting a terminal to a network via an access point device,
A determination step of detecting the position of each terminal and determining whether or not it exists within a predetermined area;
An access control method comprising: an access permission step for permitting access to the network only for a terminal determined to exist within the predetermined area.
前記判別ステップでは、固有の公開鍵を有する端末の位置を検知して、前記所定領域内に存在するか否かを判別するものであって、
前記アクセス許可ステップは、
前記所定領域内に存在すると判断された前記端末との通信用に共通鍵を生成する共通鍵生成ステップと、
前記共通鍵を前記端末固有の前記公開鍵で暗号化する暗号化ステップと、
前記暗号化ステップで暗号化された前記共通鍵を送信する共通鍵送信ステップと、
前記共通鍵送信ステップで送信された前記共通鍵で、前記端末と暗号化された通信を行う通信ステップとを有することを特徴とするアクセス制御方法。 The access control method according to claim 24, wherein
In the determining step, the position of a terminal having a unique public key is detected to determine whether or not the terminal exists in the predetermined area,
The access permission step includes:
A common key generating step for generating a common key for communication with the terminal determined to exist in the predetermined area;
An encryption step of encrypting the common key with the public key unique to the terminal;
A common key transmission step of transmitting the common key encrypted in the encryption step;
An access control method comprising: a communication step of performing encrypted communication with the terminal using the common key transmitted in the common key transmission step.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004010629A JP2005204232A (en) | 2004-01-19 | 2004-01-19 | Network system, access point device, terminal communication module, access control method, access control program, and recording medium recording access control program therein |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004010629A JP2005204232A (en) | 2004-01-19 | 2004-01-19 | Network system, access point device, terminal communication module, access control method, access control program, and recording medium recording access control program therein |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2005204232A true JP2005204232A (en) | 2005-07-28 |
Family
ID=34823304
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004010629A Pending JP2005204232A (en) | 2004-01-19 | 2004-01-19 | Network system, access point device, terminal communication module, access control method, access control program, and recording medium recording access control program therein |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2005204232A (en) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101148337B1 (en) * | 2010-11-17 | 2012-05-24 | 주식회사 반딧불소프트웨어 | Apparatus and method for controling network connection using position information of terminal |
CN104660473A (en) * | 2015-02-13 | 2015-05-27 | 浪潮通信信息系统有限公司 | Method and device for selecting access point paths |
JP2020115668A (en) * | 2020-04-03 | 2020-07-30 | キヤノン株式会社 | System, control method thereof, device, and program |
JP2020136844A (en) * | 2019-02-18 | 2020-08-31 | 日本電気株式会社 | Key management system, key management method, and program |
DE112021006751T5 (en) | 2021-03-10 | 2023-11-09 | Mitsubishi Electric Corporation | WIRELESS COMMUNICATIONS DEVICE, WIRELESS COMMUNICATIONS METHOD AND PROGRAM |
-
2004
- 2004-01-19 JP JP2004010629A patent/JP2005204232A/en active Pending
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101148337B1 (en) * | 2010-11-17 | 2012-05-24 | 주식회사 반딧불소프트웨어 | Apparatus and method for controling network connection using position information of terminal |
CN104660473A (en) * | 2015-02-13 | 2015-05-27 | 浪潮通信信息系统有限公司 | Method and device for selecting access point paths |
CN104660473B (en) * | 2015-02-13 | 2017-12-26 | 浪潮天元通信信息系统有限公司 | A kind of system of selection of access point path and device |
JP2020136844A (en) * | 2019-02-18 | 2020-08-31 | 日本電気株式会社 | Key management system, key management method, and program |
JP7163813B2 (en) | 2019-02-18 | 2022-11-01 | 日本電気株式会社 | Key management system, key management method and program |
JP2020115668A (en) * | 2020-04-03 | 2020-07-30 | キヤノン株式会社 | System, control method thereof, device, and program |
JP7005675B2 (en) | 2020-04-03 | 2022-01-21 | キヤノン株式会社 | Systems, their control methods, devices, and programs |
DE112021006751T5 (en) | 2021-03-10 | 2023-11-09 | Mitsubishi Electric Corporation | WIRELESS COMMUNICATIONS DEVICE, WIRELESS COMMUNICATIONS METHOD AND PROGRAM |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
WO2019184736A1 (en) | Access authentication method and device, and server | |
TWI295030B (en) | Method for bootstrapping applications and services at different layers in a communications stack, apparatus that provides a device introduction framework, method for an introduction process, method for introducing two devices, method for establishing tru | |
US9621562B2 (en) | Propagating authentication between terminals | |
US20180144563A1 (en) | Hands-free fare gate operation | |
CN100533460C (en) | Information communication device, information communication system | |
US9762567B2 (en) | Wireless communication of a user identifier and encrypted time-sensitive data | |
US9356940B2 (en) | Security and access system based on multi-dimensional location characteristics | |
EP1395019A2 (en) | Apparatus and method for providing authentication information for a secure group communication | |
KR100823260B1 (en) | Method and apparatus for transmitting content to the device which do not join domain | |
US20150372720A1 (en) | Secure near field communication (nfc) handshake | |
WO2006018994A1 (en) | Group management device, information processing device, and method | |
CN102119542A (en) | Portable device association | |
JP2010530656A (en) | Wireless device monitoring method, wireless device monitoring system, and product | |
US20070097878A1 (en) | Management device that registers communication device to wireless network, communication device, intermediate device, and method, program, and integrated circuit for registration of communication device | |
JP2006060806A (en) | Method for binding devices connected by wireless network | |
JP2009075688A (en) | Program and method for managing information related with location of mobile device and cryptographic key for file | |
KR20050026024A (en) | Security system for apparatuses in a wireless network | |
KR101212509B1 (en) | System and method for service control | |
KR20120058199A (en) | User authentication method using location information | |
JP2005204232A (en) | Network system, access point device, terminal communication module, access control method, access control program, and recording medium recording access control program therein | |
JP2009027505A (en) | Control device, communication apparatus, control system, control method and control program | |
KR20130002044A (en) | A method for detecting illegal access point and a wlan device therefor | |
JP2006268411A (en) | Method and system for authenticating remote accessing user by using living body data and user device | |
JP2012203757A (en) | Usage management system and usage management method | |
JP4556492B2 (en) | COMMUNICATION DEVICE AND ITS PROGRAM, DATA PROCESSING DEVICE AND ITS PROGRAM, AND METHOD THEREOF |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060125 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080327 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080415 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080610 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20080826 |